CVE-2016-20088: Comodo Chromodo Browser sårbarhed
Comodo Chromodo Browser har en sårbarhed der lader lokale angribere køre skadelig kode med fulde systemrettigheder.
Hvad er det?
Comodo Chromodo Browser version 52.15.25.664 har en fejl kaldet ‘unquoted service path’ (en sti til et program der ikke er sat i anførselstegn) i opdateringstjenesten ChromodoUpdater. Denne tjeneste kører med SYSTEM-rettigheder, hvilket er de højeste mulige rettigheder på en Windows-computer. Fejlen opstår fordi Windows kan blive narret til at køre et andet program end det tiltænkte, hvis stien ikke er korrekt afgrænset med anførselstegn. En angriber med almindelig brugeradgang på maskinen kan placere et ondsindet program på den forkerte sti og få det kørt med fulde systemrettigheder, næste gang tjenesten genstarter eller computeren genstartes.
Hvem rammer det?
Sårbarheden rammer virksomheder og brugere der har Comodo Chromodo Browser version 52.15.25.664 installeret på Windows-computere. Særligt relevant hvis:
- Din virksomhed bruger Chromodo Browser som standardbrowser.
- Medarbejdere har installeret browseren selv på arbejdscomputere.
- Computerne er delt af flere brugere, da en bruger med begrænset adgang kan misbruge fejlen.
Hvad kan ske?
Hvis en angriber allerede har adgang til computeren som en almindelig bruger, kan vedkommende:
- Køre vilkårlig kode med fulde SYSTEM-rettigheder (højeste niveau på Windows).
- Installere skadelig software, bagdøre eller ransomware uden begrænsninger.
- Stjæle følsomme data, adgangskoder og forretningsdokumenter.
- Overtage hele computeren og potentielt sprede angrebet til resten af virksomhedens netværk.
Angrebet kræver at angriberen allerede er logget ind på maskinen, men ingen tekniske forhindringer udover det.
Hvor alvorligt er det?
Sårbarheden er vurderet til CVSS-score 7.8 ud af 10, hvilket kategoriseres som Alvorlig. Angrebskompleksiteten er lav, og der kræves kun begrænsede rettigheder — ingen brugerinteraktion er nødvendig. Konsekvenserne for fortrolighed, integritet og tilgængelighed vurderes alle som høje. Det betyder at en angriber med selv minimal adgang til maskinen kan opnå fuld kontrol over den.
Hvad gør jeg nu?
Følg disse trin for at beskytte din virksomhed:
- Kortlæg brugen: Find ud af om Comodo Chromodo Browser er installeret på virksomhedens computere — bed IT-ansvarlig om at tjekke installerede programmer.
- Afinstallér browseren: Comodo Chromodo Browser er et forældet produkt der ikke længere vedligeholdes aktivt. Fjern det fra alle computere og skift til en aktivt vedligeholdt browser som Google Chrome, Mozilla Firefox eller Microsoft Edge.
- Begræns lokale rettigheder: Sørg for at medarbejdere ikke har administratorrettigheder på hverdagens arbejdscomputere — det begrænser skaden ved denne og lignende sårbarheder.
- Gennemgå andre installerede programmer: Brug lejligheden til at rydde op i ubrugte eller forældede programmer på virksomhedens computere.
- Informér medarbejdere: Fortæl relevante medarbejdere om ændringen i browser og baggrunden herfor.
Håndtér hurtigst muligt
Comodo Chromodo Browser er et forældet produkt, og der forventes ikke en officiel rettelse. Den eneste sikre løsning er at afinstallere browseren øjeblikkeligt og erstatte den med en aktivt vedligeholdt alternativ. Sørg desuden for at begrænse lokale brugerrettigheder på virksomhedens computere, da det er den mest effektive generelle beskyttelse mod denne type angreb.
Tidslinje
Konkrete eksempler
Medarbejder med begrænset adgang overtager systemet
En medarbejder med en almindelig Windows-brugerkonto opdager at Chromodo Browser er installeret på sin arbejdscomputer. Vedkommende placerer et ondsindet program i en mappe tidligt i tjenestens sti. Næste gang computeren genstarter, kører Windows det ondsindede program med fulde SYSTEM-rettigheder, og angriberen har nu fuld kontrol over maskinen uden at have haft administratorrettigheder.
Ekstern konsulent misbruger midlertidig adgang
En ekstern IT-konsulent får midlertidig adgang til en computer for at løse et problem. Konsulenten bemærker Chromodo Browser er installeret og placerer diskret et ondsindet program på den relevante sti. Når konsulentens adgang ophører og computeren genstartes, aktiveres det ondsindede program og giver angriberen vedvarende fjernadgang til virksomhedens system.
Eskalering efter indledende angreb via phishing
En medarbejder klikker på et phishing-link og downloader et program der giver en angriber begrænset adgang til computeren. Angriberen opdager at Chromodo Browser er installeret og bruger unquoted service path-sårbarheden til at eskalere sine rettigheder til SYSTEM-niveau. Herfra kan angriberen bevæge sig frit rundt i virksomhedens netværk og installere ransomware på flere servere.
Ofte stillede spørgsmål
Kan en angriber udnytte dette uden fysisk adgang til computeren?
Nej. Angrebsvektoren er lokal, hvilket betyder at angriberen skal have en brugerkonto og være logget ind på den berørte computer. Det kan dog være en medarbejder, en ekstern konsulent eller en person der har fået adgang via et andet angreb.
Bruger vi ikke Chromodo — er vi så sikre?
Ja, denne specifikke sårbarhed påvirker kun computere med Comodo Chromodo Browser version 52.15.25.664 installeret. Hvis browseren ikke er installeret, er I ikke berørt af netop denne CVE. Det er dog god praksis at gennemgå hvilke programmer der er installeret på virksomhedens computere.
Kommer der en opdatering der retter fejlen?
Det er usandsynligt. Comodo Chromodo Browser er et forældet produkt der ikke længere modtager aktiv support og sikkerhedsopdateringer. Afinstallation og skift til en moderne browser er den anbefalede løsning.
Hvad er en 'unquoted service path', og hvorfor er det farligt?
En ‘unquoted service path’ (en sti uden anførselstegn) er en fejl i hvordan Windows-tjenester er konfigureret. Når stien til et program indeholder mellemrum og ikke er sat i anførselstegn, kan Windows fejlagtigt forsøge at køre et andet program placeret tidligere i stien. En angriber kan udnytte dette ved at placere et ondsindet program det forkerte sted, så det køres i stedet for det rigtige program — og med højere rettigheder.
Hvilken browser skal vi skifte til?
Du kan trygt skifte til Google Chrome, Mozilla Firefox eller Microsoft Edge. Alle tre browsere er aktivt vedligeholdte, modtager løbende sikkerhedsopdateringer og er velegnede til erhvervsbrug. Tal med din IT-ansvarlige om hvilken der passer bedst til jeres arbejdsgange.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Comodo Chromodo Browser 52.15.25.664 contains an unquoted service path vulnerability in the ChromodoUpdater service that runs with SYSTEM privileges. A local attacker can insert a malicious executable in the service path and execute arbitrary code with elevated privileges upon service restart or system reboot.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
